:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
DevSecOps trotz quelloffener Komponenten Sicher arbeiten mit Open Source
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/bf/5fbfdf326d5dd/rti-logo-color-200px.jpg "rti-logo-color-200px.jpg (rti)"){kind=logo}
Von Code über Software-Pakete und -Bibliotheken bis hin zu ganzen Anwendungen: Open Source ist ein wichtiger Faktor für den florierenden Entwicklermarkt. Aber wie kann man mit – und vielleicht sogar dank – allgemein zugänglichem Code wirklich sicher arbeiten.
Erst seit der Nutzung von Open Source können moderne Anwendungen in wirklich hohem Tempo erstellt, ausgefeilt und gewartet werden. Die Zeiten, in denen Entwickler neuen Code erstellen mussten, um alltägliche Funktionen zu programmieren, sind lange vorbei. Stattdessen können sie die Erkenntnisse großer Vordenker nutzen und sich auf die Bereitstellung von neuen Features und Funktionen der eigenen Anwendungen konzentrieren.
Open Source wird von Anwendungsentwicklern mittlerweile fast flächendeckend verwendet. Nach Angaben von Gartner enthalten 96 Prozent aller Anwendungen quelloffene Pakete. Sie bilden ein massives, unsichtbares Fundament, das unter den Anwendungen liegt und den nativen Code der Entwickler stützt.
Die Open-Source-Analyse von Gartner kommt zu dem Schluss, dass vier Fünftel des Quellcodes aller Anwendungen auf Open Source basieren. Diese Möglichkeit, schneller zu entwickeln und das Rad nicht neu erfinden zu müssen, ist ein immenser Vorteil. Aber mit dieser Chance geht auch eine große Verantwortung einher.
In den vergangenen Jahren griffen Cyberkriminelle immer öfter Lieferketten an und hatten es dabei besonders auf die Open-Source-Pakete abgesehen. Die Angreifer hatten sich bestehenden Projekten angeschlossen und den darin enthaltenen Code verändert oder neue Varianten bereits existierender Pakete erstellt. Diese erweckten den Anschein, die neueste Version zu sein, beinhalteten in Wirklichkeit aber bösartigen Code.
Diese Art von Angriffen hat sich in letzter Zeit als relativ einfach und zugleich hocheffektiv erwiesen. Viele Open-Source-Pakete werden beinahe täglich aktualisiert und in Repositorys wie NPM, RubyGems und PyPi hochgeladen – meist mit wenigen oder gar keinen Sicherheitschecks. Diese Pakete werden dann teils millionenfach von Entwicklern heruntergeladen, die ebenfalls nur eine mangelhafte Sicherheitsprüfung durchführen.
Ein gutes Beispiel dafür ist der Event-Stream-Vorfall im Jahr 2018. Ein Cyberkrimineller gab sich als begeisterter und fähiger neuer Mitarbeiter von event-stream aus, einem angesehenen und nützlichen Low-Level-Dienstprogramm, das 2015 in den Wartungsmodus übergegangen war. Es dauerte nicht lange, bis der Angreifer die Bearbeitungs- und Zugriffsrechte erlangte.
In erster Instanz fügte er dem Paket eine neue, zunächst harmlose Komponente hinzu. Diese aktualisierte er aber im folgenden Monat mit einer neuen Version, die bösartigen Code enthielt. Genau dieses Paket wurde von Millionen Entwicklern heruntergeladen – es dauerte jedoch über einen Monat, bis jemand den bösartigen Inhalt bemerkte.
Der eingefügte Code zielte auf die Entwickler eines einzelnen Unternehmens ab, das eine Bitcoin-Wallet-Anwendung bereitstellt. Er sollte die Daten der Endnutzer abfangen. Aber natürlich hätte er auch andere, allgemeinere Anwendungen wie Ransomware oder andere Möglichkeiten zum Datendiebstahl enthalten können.
Die Konsequenz aus diesem und vielen ähnlichen Angriffen ist, dass Entwickler Open-Source-Pakete nicht mehr für bare Münze nehmen können. In der Vergangenheit unterlagen die 20 Prozent intern entwickelter Anwendungscodes stärkeren Sicherheitsprüfungen als Open-Source-Code. Man ging davon aus, dass Open-Source-Pakete von Natur aus vertrauenswürdiger sind.
Heutzutage weiß man, dass das eine unkluge Annahme war und Entwickler Open-Source-Pakete gründlich untersuchen sollten, bevor sie sie verwenden. Die Untersuchung sollte sich auf vier Schlüsselfragen konzentrieren:
1. Wer benutzt es?
Ein Paket, das von verschiedenen Entwicklern verwendet wird, ist potenziell vertrauenswürdiger als eines mit nur wenigen Benutzern. Eine höhere Beliebtheit lässt auch darauf schließen, dass ein Paket seine Aufgaben effektiv erfüllt. Je mehr Leute sich aktiv mit dem Paket befassen, desto wahrscheinlicher werden Schwachstellen oder neu hinzugefügter bösartiger Code entdeckt.
Repositories zeichnen die Download-Anzahl sowie die Bewertungen, Abspaltungen, Abhängigkeiten und andere Erfolgsindikatoren auf. Die Beliebtheit allein ist jedoch – wie auch der Event-Stream-Vorfall zeigte – noch nicht der Königsweg.
2. Wird es regelmäßig gewartet?
Einige Pakete sind zwar beliebt, werden aber nicht regelmäßig gewartet. Stattdessen wurden sie irgendwann als „fertig“ eingestuft oder die beteiligten Entwickler verloren das Interesse. Hier sollten die Alarmglocken schrillen. Falls Developer mit diesem Paket bei einer geschäftskritischen Anwendung auf Probleme stoßen sollten, kann ihnen niemand weiterhelfen. Außerdem können sie sich nicht sicher sein, ob das Paket mit modernen Komponenten kompatibel ist oder im Laufe der Zeit Schwachstellen entwickelt hat.
Ein Paket sollte während seiner gesamten Lebensdauer einen regelmäßigen Aktualisierungsfluss aufweisen. Entwickler sollten die Liste der offenen Probleme und Pull-Requests überprüfen. Diese deuten bei einem sehr aktiven Projekt nicht immer auf eine Schwachstelle hin; aber signifikante Lücken im Verlauf verdienen eine genauere Betrachtung.
3. Ist der Gebrauch sicher?
Beliebtheit und regelmäßige Wartung geben zwar eine gewisse Grundsicherheit, es sollte jedoch unbedingt auch das potenziell in einer Anwendung enthaltene Risiko evaluiert werden. Es ist nicht immer einfach festzustellen, ob ein Paket Sicherheitslücken oder gar bösartigen Code enthält.
Entwickler müssen sich sehr oft zwischen verschiedenen Paketen entscheiden. Dabei sollten sie natürlich das Paket wählen, das das geringste Risiko bei der gewünschten Funktionalität birgt. Gleichzeitig sollten sie die am wenigsten anfällige Version dieses Pakets verwenden, die nicht unbedingt die neueste sein muss. Eine gut gepflegte Datenbank enthält Informationen über genau diese Schwachstellen. Teile der Prüfung können auch von einer Automatisierung übernommen werden.
Sicherheit allein schützt jedoch nicht vor jedem Risiko. Jede Open-Source-Komponente wird mit einer Lizenz geliefert, die beschreibt, wie sie verwendet werden darf. Viele namhafte Unternehmen haben sich nicht an Lizenzbestimmungen gehalten und mussten deshalb Geldstrafen und andere Sanktionen hinnehmen. Entwickler sollten den Namen und die Art der Lizenz, unter der die Software veröffentlicht wurde, recherchieren und sicherstellen, dass ihre eigene Anwendung oder ihre Unternehmensrichtlinien der Compliance nicht widersprechen.
4. Wie stark ist die Community hinter dem Paket?
Bei den meisten Open-Source-Paketen liegt die Verantwortung für die Erstellung und Pflege des Codes bei einem kleinen Kernteam. Aber auch die Nutzer spielen eine wichtige Rolle, wenn es darum geht, ein Projekt zu optimieren. Sie helfen, indem sie Funktionswünsche äußern, Fehler melden und Feedback zur Roadmap geben.
Je stärker die Community, desto dynamischer und sicherer ist ein Paket. Zudem erlangt es im Laufe der Zeit neue sowie verbesserte Funktionen und Features. Eine starke, engagierte Gemeinschaft wird wahrscheinlich auch Tools entwickeln, die die Verwendung des Pakets erleichtern und so das Leben der Entwickler vereinfachen. Die Anzahl der Mitwirkenden über den gesamten Lebenszyklus des Pakets ist ein wichtiger Indikator für die Vertrauenswürdigkeit eines Projekts.
Mit einer gründlichen und kritischen Vorabprüfung der oben beschriebenen Punkte kann bei der Auswahl von Open-Source-Paketen in dem Vertrauen programmiert werden, dass die grundlegenden Anwendungselemente eine solide und vor allem sichere Unterstützung bieten.
Natürlich stellt das einen gewissen Mehraufwand dar. Diesen können funktionale webbasierte Datenbanken wie der der Snyk Advisor jedoch so reduzieren, dass benötigte Informationen so schnell wie bei einer Google-Suche bereitstehen. Der so erreichte Seelenfrieden und die vermiedenen Sicherheitsvorfällen machen den Recherche-Aufwand sehr lohnenswert.
* Daniel Berman ist Product Marketing Director bei Snyk.
Dieser Beitrag stammt von unserem Partnerportal Dev-Insider.de.
(ID:48115284)
:quality(80)/p7i.vogel.de/wcms/c1/95/c195ad6e40da6d5768b41a22f614bc53/0109633729.jpeg "Zephyr: Das ist der Name einer griechischen Windgottheit. Dies inspirierte die Promotoren des gleichnamigen RTOS vermutlich dazu, einen Kinderdrachen im Logo zu verwenden. (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/0c/98/0c98fa23317081660e4be5a56e30886f/0109715215.jpeg "Zephyr: Das ist der Name einer griechischen Windgottheit. Dies inspirierte die Promotoren des gleichnamigen RTOS vermutlich dazu, einen Kinderdrachen im Logo zu verwenden. (Bild: Vogel Communications Group)")